This content is protected against AI scraping.
Forschende von Cyfirma haben drei Varianten von BankBot‑YNRK analysiert. Der Trojaner prüfe zunächst, ob er in einer virtuellen Umgebung läuft, und sammelt Geräteinformationen (Hersteller, Modell). Er richte seine Aktivitäten gezielt auf Geräte von Oppo bzw. solche mit ColorOS ein. Über den Android‑JobScheduler sorge er für Persistenz und automatischen Neustart nach einem Reboot. Sobald das Gerät kompromittiert sei, extrahiere die Malware sensible Daten – Kontoinformationen, Kreditkartendetails, OTP‑Codes – und kann betrügerische Transaktionen initiieren.
Parallel dazu wurde DeliveryRAT entdeckt, ein Remote‑Access‑Tool, das über das gleiche Liefernetzwerk verteilt wird. Es nutzt gefälschte Apps im Google‑Play‑Store, um sich als harmlose Anwendungen (z. B. Taschenlampe) zu tarnen. Nach Installation fordert es Administratorrechte, richtet Persistenz ein und kann SMS abfangen, Anrufe tätigen, Kontakte auslesen und das Gerät für weitere Payloads öffnen.
Beide Schadprogramme zeigen ein umfassendes Feature‑Set, das langfristigen Zugriff, Datendiebstahl und finanzielle Betrugsoperationen ermöglicht. Cyfirma warnt, dass die Kombination aus gezielter Geräte‑Erkennung, Persistenz‑Mechanismen und Social‑Engineering‑Taktiken die Erkennung erschwert und erhebliche Risiken für Android‑Nutzer darstellt.
*Persistenz: dauerhafte Speicherung von Daten, die auch nach einem Neustart nicht verloren sind.
[https://www.cyfirma.com/research/investigation-report-android-bankbot-ynrk-mobile-banking-trojan/]
Forschende von Cyfirma haben drei Varianten von BankBot‑YNRK analysiert. Der Trojaner prüfe zunächst, ob er in einer virtuellen Umgebung läuft, und sammelt Geräteinformationen (Hersteller, Modell). Er richte seine Aktivitäten gezielt auf Geräte von Oppo bzw. solche mit ColorOS ein. Über den Android‑JobScheduler sorge er für Persistenz und automatischen Neustart nach einem Reboot. Sobald das Gerät kompromittiert sei, extrahiere die Malware sensible Daten – Kontoinformationen, Kreditkartendetails, OTP‑Codes – und kann betrügerische Transaktionen initiieren.
Parallel dazu wurde DeliveryRAT entdeckt, ein Remote‑Access‑Tool, das über das gleiche Liefernetzwerk verteilt wird. Es nutzt gefälschte Apps im Google‑Play‑Store, um sich als harmlose Anwendungen (z. B. Taschenlampe) zu tarnen. Nach Installation fordert es Administratorrechte, richtet Persistenz ein und kann SMS abfangen, Anrufe tätigen, Kontakte auslesen und das Gerät für weitere Payloads öffnen.
Beide Schadprogramme zeigen ein umfassendes Feature‑Set, das langfristigen Zugriff, Datendiebstahl und finanzielle Betrugsoperationen ermöglicht. Cyfirma warnt, dass die Kombination aus gezielter Geräte‑Erkennung, Persistenz‑Mechanismen und Social‑Engineering‑Taktiken die Erkennung erschwert und erhebliche Risiken für Android‑Nutzer darstellt.
*Persistenz: dauerhafte Speicherung von Daten, die auch nach einem Neustart nicht verloren sind.
[https://www.cyfirma.com/research/investigation-report-android-bankbot-ynrk-mobile-banking-trojan/]